網(wǎng)絡安全保險內涵和發(fā)展探析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡安全保險內涵和發(fā)展探析范文，希望能給你帶來靈感和參考，敬請閱讀。

一、網(wǎng)絡安全風險和網(wǎng)絡安全保險的內涵

網(wǎng)絡安全風險的定義分為狹義和廣義兩種。狹義的網(wǎng)絡安全風險通常只涉及特定類型的網(wǎng)絡安全風險，如造成商業(yè)破壞和經濟損失的惡意攻擊、身份盜竊、敏感信息泄露和業(yè)務中斷等；而廣義的則通常相對淡化網(wǎng)絡屬性，如信息系統(tǒng)失靈或信息安全風險、任何因使用和傳送電子資料而產生的風險等。目前在保險學術界，對網(wǎng)絡安全風險最為廣泛使用的定義是“影響信息技術資產的保密性、可用性和完整性的操作風險”，以便于參照巴塞爾協(xié)議和償二代監(jiān)管框架對操作風險的分類，同時便于利用已有的操作風險數(shù)據(jù)庫。在此定義下，網(wǎng)絡安全風險按風險來源可分為：1.人的行為導致，包括非故意行為（失誤、遺漏）、故意行為（惡意攻擊、勒索）、缺乏行為能力（缺乏專業(yè)知識）等；2.信息系統(tǒng)或技術失靈，包括硬件失靈（內存、硬盤空間不足）、軟件失靈（兼容性、環(huán)境配置、安全設置）、系統(tǒng)失靈（系統(tǒng)架構設計）等；3.內部程序不完善，包括風險應對程序設計問題（通知預警、日志記錄、角色分工等）、風險應對程序管理問題（安全態(tài)勢監(jiān)控、測量、檢查）、風險應對支持機制問題（人員配置、設備支持、安全培訓）等；4.外部事件，包括自然災害（地震、洪水造成物理損壞）、對外服務依賴（安全服務提供商服務中止）等。值得注意的是，上述第一種風險類型不僅僅局限于外部人員，也納入了由企業(yè)內部員工行為導致的網(wǎng)絡安全風險。相應的，網(wǎng)絡安全保險即為一種針對上述所定義的網(wǎng)絡安全風險造成相關經濟損失的風險轉移工具。按損失主體不同，網(wǎng)絡安全保險可分為承保第一方損失，即投保人自身的損失的，例如數(shù)字資產丟失或損壞，以及承保網(wǎng)絡安全風險事故造成的第三方損失的，例如無意傳播病毒導致的第三方損失、數(shù)據(jù)泄露對客戶造成的損失等；按產品類型分類，網(wǎng)絡安全保險可分為獨立保單（通常包含配套網(wǎng)絡安全服務）、復合責任保險（與其他財產／責任保險打包成一攬子保險方案）和隱性網(wǎng)絡安全風險保障（SilentCyberRiskCoverage）。隱性網(wǎng)絡安全風險保障源自保險條款術語表述的不完善或局限性，隱藏于并未明確免除網(wǎng)絡安全風險責任的其他財產／責任保險產品中，因而這是一種潛在的風險保障。例如，營業(yè)中斷保險中通常沒有明確除外由網(wǎng)絡故障導致的運營中斷事故，董事及高管人員責任保險中通常沒有明確除外企業(yè)高管在其職業(yè)活動中泄露公司機密數(shù)據(jù)而引致的經濟損失，職業(yè)責任保險中通常沒有明確除外企業(yè)職工誤刪數(shù)據(jù)、更改數(shù)據(jù)、中斷對第三方電子數(shù)據(jù)交換的訪問等造成的經濟損失，這些都屬于隱性網(wǎng)絡安全風險保障。新冠疫情暴發(fā)后，隨著物聯(lián)網(wǎng)設備加速滲透和辦公線上化（例如智能家居、智能辦公），傳統(tǒng)財產／責任保險中的隱性網(wǎng)絡安全風險保障，一方面亟需保險行業(yè)重視和評估其經營穩(wěn)健性，另一方面需要盡量減少責任重疊以避免重復保險和可能引起的理賠糾紛。

二、發(fā)展網(wǎng)絡安全保險的必要性

實現(xiàn)數(shù)字經濟健康發(fā)展，必須有效應對網(wǎng)絡空間日益嚴峻的安全風險。以計算機、網(wǎng)絡、通信為代表的現(xiàn)代信息技術革命催生了數(shù)字經濟。目前，數(shù)字技術正廣泛應用于現(xiàn)代經濟活動中，其提高了經濟效率，促進了經濟結構加速轉變，成為全球經濟復蘇的重要驅動力。作為我國把握新一輪科技革命和產業(yè)變革新機遇的戰(zhàn)略選擇，發(fā)展數(shù)字經濟正成為新時代中國特色社會主義經濟建設的重大歷史任務。隨著移動互聯(lián)網(wǎng)和智能設備的快速普及，網(wǎng)絡攻擊呈現(xiàn)常態(tài)化、全球化、大眾化的新特點，攻擊范圍、攻擊破壞力日益擴大。網(wǎng)絡和數(shù)據(jù)安全風險不僅關系到公民切身利益，而且涉及保護數(shù)字經濟發(fā)展的關鍵生產要素。在數(shù)字經濟時代，數(shù)據(jù)已成為關鍵生產要素和重要戰(zhàn)略資源，是創(chuàng)造價值的核心資產。沒有一個強大、安全和可信的網(wǎng)絡空間，數(shù)據(jù)要素無法高效生產，數(shù)字經濟無法持續(xù)繁榮。網(wǎng)絡安全保險是數(shù)字經濟安全體系的“血液”和最終風險轉移手段。“強化數(shù)字經濟安全體系”是“十四五”數(shù)字經濟發(fā)展規(guī)劃的重要內容。網(wǎng)絡安全保險的賠償通常覆蓋事后安全漏洞的彌補、系統(tǒng)運營的修復、防病毒軟件設計等防御性措施產生的費用，是事故后網(wǎng)絡安全費用的實際支付方。從這個角度來看，網(wǎng)絡安全保險為數(shù)字經濟安全體系的健康運行提供資金“血液”，用清償力支撐我國網(wǎng)絡安全產業(yè)的快速發(fā)展。在當前人類的科技視域下，不可能徹查信息系統(tǒng)所有的漏洞、后門，不可能構建一個“無毒無菌”的網(wǎng)絡空間，信息化、智能化與網(wǎng)絡安全在動態(tài)博弈中辯證統(tǒng)一、相伴相生。網(wǎng)絡與數(shù)據(jù)安全風險的不可杜絕性從根源上對網(wǎng)絡安全保險的風險轉移功能產生了必然需求。因此，除了事后補償，網(wǎng)絡安全保險通常作為一攬子網(wǎng)絡安全服務方案的一部分，擔當已有安全措施后的最終風險轉移手段的角色。當然，網(wǎng)絡安全保險發(fā)展的前提是建立標準化的網(wǎng)絡安全水平評價體系和相應的網(wǎng)絡安全措施實踐，這也會產生一定正外部性，倒逼企業(yè)在投保前建立符合標準的網(wǎng)絡安全防護體系?？偠灾?，網(wǎng)絡安全保險是數(shù)字經濟安全體系不可或缺的一部分。

三、網(wǎng)絡安全保險面臨的挑戰(zhàn)

當前發(fā)展網(wǎng)絡安全保險仍將面臨種種考驗。第一，如何解決損失發(fā)生的隨機性問題？從精算標準來看，大數(shù)定律下平均損失依概率收斂于期望值需要兩個前提，一是單件損失發(fā)生的獨立性，二是風險池中的保單數(shù)量充分大。網(wǎng)絡安全風險存在三個特點可能導致其違背這兩個前提：首先，IT行業(yè)的規(guī)模經濟導致當前許多軟件、硬件、系統(tǒng)架構等高度同源，容易受到相同網(wǎng)絡安全事故的影響，從而導致部分網(wǎng)絡安全風險類型（例如DDoS攻擊）在不同公司之間存在風險相關性；其次，由于目前我國網(wǎng)絡安全保險市場仍處于起步階段，承保的保單總體數(shù)量較少，導致保險公司的風險分散不足，同時也缺乏再保險風險分散力量的支持，但這一點會隨著市場的持續(xù)高速增長而有所緩解；最后，網(wǎng)絡安全風險往往動態(tài)性較強，算法更新、系統(tǒng)或設備升級都可能引起企業(yè)網(wǎng)絡安全風險出現(xiàn)根本性變化，破壞事故發(fā)生的隨機性。第二，如何達成網(wǎng)絡安全投資激勵和網(wǎng)絡安全風險保障的平衡？這種平衡的重要性體現(xiàn)在兩個方面。首先，作為典型的事前道德風險，投保后網(wǎng)絡安全投資激勵不足可能威脅網(wǎng)絡安全保險的持續(xù)經營。我們有充足的理由相信，網(wǎng)絡安全風險的信息不對稱比普通的財產風險更嚴重。例如：網(wǎng)絡安全風險本身更加復雜且具有動態(tài)性特征，對于保險公司的理解和評估構成挑戰(zhàn)；內部系統(tǒng)和數(shù)據(jù)資產關乎企業(yè)機密，企業(yè)在披露相關信息時天然地會更趨保守，投保后保險公司難以及時了解企業(yè)的真實網(wǎng)絡安全水平。因此，在沒有抑制措施的情況下，企業(yè)在投保后具備更強的動機減少網(wǎng)絡安全投資。其次，從全局看，網(wǎng)絡安全投資的正外部性關乎數(shù)字經濟的整體福利。最近有文獻表明，隱私信息具備公共物品屬性（PublicGoods），這為政府對數(shù)據(jù)隱私保護的監(jiān)管提供了理論依據(jù)。在數(shù)字經濟時代，一個人的隱私信息泄露會被第三方用于訓練模型并預測他人的行為，進而影響他人的福利。據(jù)此，隱私保護措施自然具備正外部性。信息泄露本身是網(wǎng)絡安全風險之一，如果接受這一觀點，則網(wǎng)絡安全投資的正外部性和對于數(shù)字經濟的重要性毋庸置疑。同時，網(wǎng)絡安全風險的相關性強化了這一屬性。如果一個企業(yè)在網(wǎng)絡安全投資決策時出于風險關聯(lián)會考慮其他企業(yè)的網(wǎng)絡安全保護情況，那么企業(yè)的私人網(wǎng)絡安全投資水平會次優(yōu)。綜上所述，如果投保后企業(yè)的網(wǎng)絡安全投資激勵下降，就會給數(shù)字經濟的整體福利帶來負面影響。需要注意的是，網(wǎng)絡安全投資激勵和網(wǎng)絡安全風險保障的平衡并不意味著非此即彼，而是強調網(wǎng)絡安全保險產品需要重視和創(chuàng)新網(wǎng)絡安全投資激勵機制，使其更多地發(fā)揮促進網(wǎng)絡安全投資的正向作用。第三，如何看待間接損失和事后道德風險？網(wǎng)絡安全事故的直接損失表現(xiàn)為業(yè)務中斷或癱瘓，包括財產、權利或交易性損失、維修和恢復費用、合同違約成本等，通常發(fā)生在風險事故的監(jiān)測識別、通知、及時處理和事后預防階段。相對地，間接損失則源于網(wǎng)絡安全事故導致利益相關方的信心受損，通常由網(wǎng)絡安全事故信息的披露導致企業(yè)安全狀況評價降低而觸發(fā)，包括現(xiàn)有客戶流失和新客戶減少，以及聲譽、品牌形象、員工信心、市場地位受損等。不難發(fā)現(xiàn)，間接損失往往在事故發(fā)生后較長一段時間才產生，并且難以定量測算、損失規(guī)模波動大，因此可保性差，往往不被網(wǎng)絡安全保險的保障責任覆蓋。然而，這種間接損失的保障缺口會導致企業(yè)在披露事故則獲得賠償和不披露事故以避免間接損失兩者之間權衡，形成事后道德風險。具體而言，只有當披露事故信息后所獲得的賠償大于該舉措所造成的間接損失時，企業(yè)才會索賠；否則，不披露事故信息以及不索賠才是最優(yōu)選擇。顯然，在特定網(wǎng)絡風險類型的直接和間接損失聯(lián)合分布符合一定條件時（例如間接損失為常數(shù)），這種權衡會系統(tǒng)性地推高平均賠償金額。此外，風險數(shù)據(jù)缺乏、企業(yè)網(wǎng)絡安全水平缺乏統(tǒng)一可信的衡量標準被廣泛認為是構成網(wǎng)絡安全風險建模和準確評估的障礙；對網(wǎng)絡攻擊的激勵也是網(wǎng)絡安全保險在產品責任設計時需要抑制的負外部性之一。

四、發(fā)展網(wǎng)絡安全保險的建議

我國網(wǎng)絡安全保險盡管起步較晚，但在目前發(fā)展數(shù)字經濟的新時代重大戰(zhàn)略選擇背景下更具重要意義。國外發(fā)展歷史表明，政府監(jiān)管的引導和支持是提升社會網(wǎng)絡安全風險意識、推動網(wǎng)絡安全保險發(fā)展的重要力量。2020年以來，我國政府先后出臺《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》，網(wǎng)絡空間治理進入了新的階段。目前，我國網(wǎng)絡安全保險市場上出現(xiàn)了保障網(wǎng)絡金融賬戶安全、虛擬財產安全、移動支付安全、云服務安全及防御DDoS攻擊風險等側重部分特定風險類型或保險標的的產品，存在責任覆蓋狹隘、產品種類缺乏、條款表述冗雜、風險控制不足、持續(xù)經營能力弱等問題。整體而言，作為一款新險種，由于缺乏行業(yè)標準規(guī)范，我國網(wǎng)絡安全保險發(fā)展較為緩慢。對此，本文提出以下7條關于發(fā)展我國網(wǎng)絡安全保險的建議：1.發(fā)展網(wǎng)絡安全保險需要網(wǎng)絡安全技術范式創(chuàng)新、實現(xiàn)安全功能可定制可度量可檢驗。網(wǎng)絡安全風險概率可測、損失可估是可保的首要條件，是精算定價的重要基礎。然而，傳統(tǒng)的網(wǎng)絡安全技術范式無法在缺乏先驗知識的條件下有效應對未知漏洞、未知病毒等未知內生安全威脅，進而難以量化安全可信水平。因此，從根本上推動技術范式創(chuàng)新、落實安全功能可定制可度量可檢驗，是實現(xiàn)網(wǎng)絡安全保險產品創(chuàng)新的充要條件。2.發(fā)展網(wǎng)絡安全保險需要構建“保險+風險管理+服務”的綜合業(yè)態(tài)。網(wǎng)絡安全保險亦是網(wǎng)絡安全服務，事前風險評估、事后風險干預是保險業(yè)風險控制的重要手段。由于產業(yè)交叉性、數(shù)據(jù)有限性、風險相關性、技術復雜性等特征，網(wǎng)絡安全風險具備更高的信息不對稱性，潛在的逆向選擇和道德風險隱患更大。為此，網(wǎng)絡安全保險產品創(chuàng)新必須與網(wǎng)絡安全服務深度融合，轉移風險的同時提供更具主動性、預警性、實時性、動態(tài)性的安全風險解決方案。3.發(fā)展網(wǎng)絡安全保險需要確立中國特色的服務規(guī)范，制定企業(yè)和行業(yè)標準。目前我國正處于網(wǎng)絡安全保險發(fā)展的初級階段，起步較晚、缺乏標準。盡管歐美國家發(fā)展領先，但由于市場體制、行業(yè)生態(tài)、網(wǎng)絡空間治理等存在差異，不能生搬硬套產品服務模式。為滿足我國數(shù)字經濟安全保障的迫切需求，推進網(wǎng)絡安全保險落地，需要加強頂層設計，在借鑒國外發(fā)展經驗的同時，重視國情，因地制宜，制定具有中國特色的網(wǎng)絡安全保險和服務的標準規(guī)范。4.發(fā)展網(wǎng)絡安全保險需要自上而下推進數(shù)據(jù)基礎設施建設?；A數(shù)據(jù)對于建立相對準確的網(wǎng)絡安全風險經濟模型、防止過度夸大網(wǎng)絡安全風險具有決定性作用。在網(wǎng)絡安全保險發(fā)展初級階段，我們一方面有必要借助公權力推動強制信息披露制度，為網(wǎng)絡安全風險情報庫提供權威數(shù)據(jù)來源；另一方面需要建立匿名共享網(wǎng)絡安全事故信息機制，在規(guī)避隱私問題的前提下推動多源數(shù)據(jù)融合，共享網(wǎng)絡安全感知。5.發(fā)展網(wǎng)絡安全保險需要保險、網(wǎng)絡安全產業(yè)、高?？蒲袡C構協(xié)同創(chuàng)新。立足當前我國網(wǎng)絡空間安全態(tài)勢，整合跨產業(yè)、跨學科多方資源和技術力量，鼓勵產學研深度合作，協(xié)同攻關網(wǎng)絡安全保險領域的風險定義、定價、風控等難點疑點，創(chuàng)新網(wǎng)絡安全保險機制和模式，指導行業(yè)推出切實滿足需求、自有知識產權、保持穩(wěn)健經營的網(wǎng)絡安全保險示范產品。6.發(fā)展網(wǎng)絡安全保險需要政府部門大力支持和社會力量積極參與。面對數(shù)字經濟時代的迫切需求，實現(xiàn)當期和中遠期的網(wǎng)絡安全保險快速發(fā)展不能僅僅依靠行業(yè)自身。歐美國家網(wǎng)絡安全保險的發(fā)展歷史表明，政府監(jiān)管部門的政策支持是提升社會網(wǎng)絡安全風險意識、統(tǒng)籌協(xié)調各方資源、推動行業(yè)快速成長的重要引導力量。我國應充分發(fā)揮體制優(yōu)勢，在政府的引導下團結社會力量積極參與，共同做大做強中國網(wǎng)絡安全保險。7.發(fā)展網(wǎng)絡安全保險需要先行先試，在實踐中不斷完善。為積累探索穩(wěn)健經營網(wǎng)絡安全保險的經驗，填補我國相關行業(yè)標準空白、示范產品空白，可針對網(wǎng)絡安全風險類別、保險公司、承保對象等展開試點，在系統(tǒng)性風險可控的條件下摸著石頭過河，鼓勵機制創(chuàng)新、產品創(chuàng)新、服務創(chuàng)新，在實踐中不斷完善網(wǎng)絡安全保險發(fā)展模式。

作者:徐煒 單位:復旦大學中國保險與社會安全研究中心